互联网在政治、金融、文化、通信等领域起着至关重要的作用,是我国关键信息基础设施之一。随着智能终端设备的普及与互联网技术的发展,网络逐渐成为人们工作与日常生活不可缺失的一种工具.然而,在当前日益复杂的网络环境下,网络攻击事件出现的频率逐年增加.根据相关报告显示,仅2021年1月我国境内感染木马或僵尸网络恶意程序的终端就有119万余个,遭到篡改、植入后门、仿冒的网站数量在22000个以上.国家信息安全漏洞共享平台(CNVD)收集整理的信息系统安全漏洞高达1660个,其中570个为高危漏洞.我国网络安全形势日益严峻,如何采取有效措施来应对层出不穷的网络攻击是我国互联网发展过程中必须解决的问题。
入侵检测系统(intrusion detection system,IDS)最早于1980年提出,是一种网络安全防护技术,主要通过实时监视系统在网络传输过程中识别入侵者的异常行为与企图,并采取相应安全措施进行防护.根据信息来源不同可分为基于主机的与基于网络的入侵检测系统,后者为本文主要研究对象。
传统入侵检测系统通常将数学统计方法与机器学习相结合来检测异常数据.机器学习能够从大量数据集中自动获取有用信息,与入侵检测系统结合能大大提升检测效率,因此在机器学习快速发展时期大量研究将该技术用于入侵检测凹,如k近邻、支持向量机、朴素贝叶斯等有监督机器学习方法以及k-means、DBSCAN、主成分分析等无监督机器学习方法.这些方法有效降低了入侵检测系统的异常数据误报率,提升了检测精度。
随着网络数据量的急剧增加与攻击手段的不断升级,在应对零日漏洞、加密攻击、内部威胁等新型攻击行为时单靠机器学习技术并不能达到理想效果.机器学习中数据仅需通过1个隐藏层进行训练,因此机器学习模型也被称为浅层模型].浅层模型的搭建相对比较简单,在处理大量无标签数据时往往出现精度低甚至无法正常检测的情况为了解决这些问题,研究人员开始将研究重心转移至深度学习,使用含有多个隐藏层的深度模型对入侵检测系统进行优化。深度学习是机器学习领域的一个分支.与传统机器学习技术相比,深度学习的主要目标是学习样本数据的内在规律,在模型构建与特征提取方面效率更高,在处理大规模数据时有更高的准确率.近年来,随着深度学习技术的成熟与火热,越来越多的学者将深度学习应用在网络异常流量检测中,开发出各种与CNN,RNN,AE,DBN等深度学习模型相结合的网络入侵检测系统,在检测海量异常数据与新型网络攻击等方面给出了不俗的表现。
本文首先介绍网络入侵检测系统中常用的几种深度学习模型,然后对深度学习模型中使用的数据预处理技术、数据集及评价指标进行介绍,接着从实际应用的角度介绍深度学习模型在网络入侵检测系统中的具体应用,再讨论当前所面临的问题及未来发展,最后总结全文。
一、深度学习模型
本节对当前网络入侵检测系统中常用的几种深度学习模型进行详细阐述,表1列举了各深度学习模型的特点及常用领域。
1.1 卷积神经网络
卷积神经网络(convolutional neural network,CNN)由多层感知机变化而来,是一种包含卷积计算的深度前馈神经网络.结构灵感来自人类大脑中的神经元,主要包括卷积层、池化层、全连接层等,其中卷积层与池化层为核心模块。卷积层的作用是CNN具有参数共享、稀疏交互与等效表示等优点.与传统神经网络不同的是,CNN在网络中使用的是局部连接,且相邻神经元之间进行权重共享.这一特点使得CNN的结构比全连接神经网络简单很多,整个计算过程所产生的参数也大大减少,从而大幅降低计算复杂度与训练时间.此外,CNN有着很强的泛用性,能够用于多种分类任务,特别在自然语言处理、模式识别、目标检测等方面具有良好的效果。利用CNN建立模式分类器能够对灰度图像进行识别与分类.在入侵检测过程中需要先将流量数据转换为灰度图的形式,再使用CNN提取图片数据的空间特征。
1.2 循环神经网络
循环神经网络(recurrent neural network,RNN)是一种递归式的神经网络,其输入值为序列数据.RNN在每条序列的演进方向上进行递归操作,且所有节点均以链式结构进行连接,如图2与传统神经网络相比,RNN在隐藏层的神经元中添加了自连接的权重值,从而将每次训练输出值的状态信息发送至下一次训练,实现了保存前一序列信息的功能,有效解决了序列数据预测等一般神经网络无法处理的问题。
………………
基于深度学习的网络入侵检测技术研究 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/Aaf2Fq8bqhb 提取码: et00